Los ciberdelincuentes están aprovechando cada vez más servicios fáciles de usar para obtener acceso no autorizado a cuentas de **Microsoft 365**, según una advertencia reciente del **FBI**. La agencia destacó **Kali365**, un servicio basado en **Telegram**, como una amenaza significativa. # Kali365: Phishing-as-a-Service **Kali365** es una plataforma Phishing-as-a-Service (PhaaS) que permite a los ciberdelincuentes capturar tokens OAuth legítimos, otorgándoles acceso generalizado a entornos de **Microsoft 365**. El **FBI** señala que **Kali365** ha estado activo desde abril de 2026, distribuido principalmente a través de **Telegram**. Permite a los actores de amenazas obtener tokens de acceso a **Microsoft 365** y eludir la autenticación multifactor (MFA) sin interceptar directamente las credenciales del usuario. # Cómo Funciona Kali365 Los atacantes que utilizan **Kali365** envían correos electrónicos de phishing que se hacen pasar por servicios de productividad en la nube y uso compartido de documentos de confianza. Estos correos electrónicos contienen códigos e instrucciones que dirigen a las víctimas a páginas de verificación legítimas de **Microsoft**. Los usuarios desprevenidos que ingresan el código en estas páginas autorizan inadvertidamente el dispositivo del atacante para acceder a su cuenta. Con los tokens de acceso y actualización OAuth adquiridos, los hackers pueden acceder a servicios de **Microsoft 365** como **Outlook**, **Teams** y **OneDrive** sin necesidad de una contraseña o verificación adicional. # Advertencias de la Industria Empresas de ciberseguridad como **Proofpoint**, **IBM** y **Huntress** han emitido advertencias sobre el creciente número de ataques que utilizan **Kali365** y plataformas PhaaS similares. **Arctic Wolf** informó haber lidiado con una gran campaña de ataques habilitada por **Kali365** en abril, donde los atacantes engañaron a las víctimas para que autorizaran sesiones iniciadas por el actor de amenazas a través de flujos de inicio de sesión de dispositivos legítimos de **Microsoft**. **Arctic Wolf** detalló además que los tokens de acceso y actualización OAuth capturados permitieron el acceso inmediato al buzón y la actividad posterior al compromiso. En algunos casos, se establecieron reglas de bandeja de entrada maliciosas para suprimir las notificaciones de seguridad, extendiendo el tiempo de permanencia y reduciendo la conciencia del usuario. # Precios y Características de Kali365 Investigadores de **Arctic Wolf** obtuvieron acceso al sistema **Kali365** y descubrieron que opera con un modelo de precios escalonado, que va desde $250 por 30 días hasta $2,000 por 365 días. La plataforma permite a los ciberdelincuentes generar señuelos de phishing de marca utilizando servicios conocidos como **Adobe**, **DocuSign** y **SharePoint**, ofreciendo señuelos en múltiples idiomas, diseños y temas. **Kali365** genera tanto páginas de phishing HTML como correos electrónicos de phishing, e incluso ofrece una versión de escritorio descargable para sus usuarios. # La Profesionalización del Cibercrimen Expertos en ciberseguridad enfatizan que **Kali365** ejemplifica la creciente profesionalización y distribución del ecosistema del cibercrimen. Actores menos cualificados ahora pueden lanzar ataques sofisticados aprovechando estas plataformas "as-a-service". Esta tendencia se vio aún más resaltada por la reciente interrupción por parte de **Microsoft** de otra herramienta criminal "as-a-service" que abusaba de servicios legítimos para entregar malware.